DPIA
Bij een nieuw proces of aanpassing van een proces waarbij er persoonsgegevens betrokken zijn, moet het bevoegd gezag een risico-analyse (laten) uitvoeren om daarmee te beoordelen wat het effect is van een verwerking. Deze risico analyse heet een gegevensbeschermingseffectbeoordeling oftewel DPIA.
Het is belangrijk dat een FG zo vroeg mogelijk betrokken is bij (veranderingen in) processen waarbij persoonsgegevens betrokken zijn. Op die manier kan een FG een correct mogelijk beeld vormen voor een gegevensbeschermingseffectbeoordeling (DPIA). De FG zal aan de hand van zo’n effectbeoordelingen een advies uit kunnen brengen over het gebruik van de persoonsgegevens. Door de FG zo veel mogelijk te betrekken, zal dat de naleving van de AVG bevorderen.
De verwerkingsverantwoordelijke moet een gegevensbeschermingseffectbeoordeling uitvoeren. De FG kan daarbij ook een erg belangrijke en nuttige rol spelen. In de AVG is specifiek opgelegd dat de verwerkingsverantwoordelijke bij de uitvoering van een gegevensbeschermingseffectbeoordeling ‘advies inwint’ bij de FG. En ook aan de FG is de verplichting opgelegd om ‘advies te verstrekken met betrekking tot de gegevensbeschermingseffectbeoordeling en toe te zien op de uitvoering daarvan’. Het bevoegd gezag kan onder andere advies vragen over:
- of er een DPIA noodzakelijk is;
- welke methode bij een DPIA nodig is;
- de uitvoering van de DPIA intern mogelijk is of extern noodzakelijk.
- welke waarborgen (technische en organisatorische maatregelen) nodig zijn om eventuele risico’s te beperken;
- of de DPIA al dan niet correct is uitgevoerd en of de conclusies in overeenstemming zijn met de AVG.
Als de verwerkingsverantwoordelijke niet met het door de FG verleende advies instemt, moet in de documentatie van de DPIA worden gemotiveerd waarom met het advies van de FG geen rekening is gehouden .